Il ruolo della cyber intelligence nella tutela della sicurezza nazionale
di Niccolò Nalesso
L’intelligence, definita come “il secondo mestiere più antico del mondo”, rappresenta anche oggi, nell’era digitale, la chiave di volta per l’acquisizione delle informazioni e per l’interpretazione di una società sempre più trasformata ed influenzata dall’avvento di Internet e della tecnologia. Del resto, tali cambiamenti radicali hanno assunto per l’intelligence una funzione decisiva, al punto che numerosi Stati hanno creato degli apparati specifici dedicati alla cyber intelligence. In Italia, ad esempio, con il DPCM del 17.02.2017 è stato istituito il Nucleo per la Sicurezza Cibernetica (NSC), inserito all’interno del Dipartimento per le Informazioni e Sicurezza (DIS), con il compito di assicurare una risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei Ministeri competenti in materia.
Sono state date molte definizioni circa il compito ed il ruolo della cyber intelligence, tuttavia si vuol dar conto di quella fornita dalla prima versione del Manuale di Tallinn (2013): “as any act undertaken clandestinely or under false pretences that uses cyber capabilities to gather information with the intention of communicating it to the opposing party”. Il Manuale prende il nome dalla capitale dell’Estonia ove nel 2009 si riunì un gruppo di esperti selezionati dalla NATO al fine di realizzare un manuale sulle norme da applicare in caso di guerra cibernetica. Ciò si era reso necessario a seguito degli eventi di maggio 2007, ove l’Estonia subì per tre settimane attacchi informatici di tipo Ddos[1], attraverso i quali furono colpiti in pochi giorni i siti web delle istituzioni pubbliche, dei giornali, delle televisioni ed i sistemi informatici delle banche. L’evento di risonanza internazionale mise per la prima volta in evidenza le potenzialità distruttive della guerra cibernetica, statuendo definitivamente che l’ambiente virtuale rappresenta la quinta dimensione del conflitto[2], ove ogni attore è in grado di assumere un ruolo rilevante indipendentemente dalle sue dimensioni.
Pertanto la cyber intelligence, non diversamente dall’attività di intelligence tradizionale, mira ad acquisire e valorizzare le informazioni attraverso l’utilizzo di sistemi informatici e/o connessi alla rete, con il paradosso che mentre vent’anni fa si era alle prese con il problema della carenza di informazioni, ci si trova ora in una condizione di sovrabbondanza di informazioni[3].
Gli Stati, del resto, sempre più intravedono nel cyber space uno strumento alternativo e decisamente preferibile alla guerra convenzionale, in particolare per i seguenti motivi: costi ridotti, assenza di perdita di vite umane, anonimato. Essi sembrano aver oramai preso coscienza che “chi detiene le informazioni del cyber space può effettivamente controllare il mondo[4]”.
E’ sufficiente scorrere la stampa quotidiana per individuare gli attori principali nel c.d. cyber warfare[5]. Tuttavia, operazioni di attacco o spionaggio informatico possono essere messe in atto anche da singoli o gruppi di black hat hackers, i quali agiscono per interessi personali o perché al soldo di governi che vogliono evitare un coinvolgimento diretto dei propri apparati istituzionali affidandosi a questa sorta di contractor digitali.
In definitiva, la capacità di tutelare la propria sicurezza nazionale dagli attacchi cyber rappresenterà un “game changer”, in quanto i Paesi avanzati potranno essere considerati soltanto quelli che saranno in grado di perseguire tale obiettivo.
Profili offensivi e difensivi
Il ruolo della cyber intelligence inizia con l’individuazione delle principali minacce per la sicurezza nazionale, ovvero:
- disinformazione: il ruolo delle fake news non è stato mai tanto evidente come negli ultimi due anni, ove elezioni democratiche in tutto il mondo sono state influenzate forse in maniera decisiva da falsi account social aventi il compito di diffondere informazioni false costruite ad hoc per orientare il voto di ampie fasce di popolazione verso il candidato più gradito all’attaccante di turno (o di chi l’ha assoldato);
- radicalizzazione online: la rete, ed in particolare il Dark web, è il fulcro della nuova propaganda jihadista in quanto permette alle cellule terroristiche di comunicare, coordinarsi e condurre le proprie attività anche in assenza di un comando centrale[6];
- interruzione di servizi essenziali: motivo per il quale la protezione cibernetica delle infrastrutture critiche è divenuta oggetto della c.d Direttiva NIS[7], la quale impone obblighi di sicurezza più stringenti in capo agli operatori di servizi essenziali, obblighi di segnalazione degli incidenti cyber e rafforza la cooperazione a livello nazionale e comunitario;
- spionaggio industriale: è noto come alcuni Stati abbiano assunto il furto di know how aziendale di Paesi più avanzati a vero e proprio obiettivo strategico.
Individuate le minacce, entrano in gioco attività maggiormente orientate all’aspetto difensivo ed altre a quello offensivo[8]. Nella prima categoria rientrano la predisposizione di misure di sicurezza informatica volte ad impedire l’accesso ai sistemi nazionali da parte dell’avversario, oltre alle tipiche attività atte all’identificazione dell’aggressore quali sorveglianza, intercettazioni telefoniche ed ambientali, utilizzo di agenti doppi ecc.
L’obiettivo da perseguire consiste quindi nell’acquisire le informazioni necessarie all’identificazione della minaccia e successivamente provvedere ad intercettare la stessa prima che giunga a compimento.
Per quanto concerne l’aspetto più prettamente offensivo, si fa in primo luogo riferimento alla manipolazione di informazioni in modo tale da condurre l’avversario ad interpretare i fatti in maniera errata. Ciò può avvenire attraverso i media, i social o con l’intervento umano. Trattasi invero di replicare quell’attività di disinformazione che tanti problemi ha creato negli ultimi anni alle democrazie occidentali. In seconda battuta è possibile altresì condurre attacchi cyber direttamente contro le strutture di spionaggio avversarie, in modo tale che esse debbano distogliere risorse e tempo dai piani d’attacco per dedicarle alla gestione delle proprie capacità difensive.
In tale contesto va considerato che le attività per così dire offensive rappresentano probabilmente la vera chiave del successo dell’attività di cyber intelligence. Illuminante in tal senso il pensiero di di James Olson[9]: “CI that is passive and defensive will fail. We cannot hunker down in a defensive mode and wait for things to happen. I believe we are spending far too much money on fences, safes, alarms, and other purely defensive measures to protect our secrets. That is not how we have been hurt in recent years. Spies have hurt us. Our CI mindset should be relentlessly offensive. We need to go after our CI adversaries”.
Tecniche: OSINT, SOCMINT e Fattore umano
Così come la società si adatta alla nuova dimensione tecnologica, anche le tecniche di intelligence si orientano verso l’utilizzo delle nuove tecnologie al fine di implementare la capacità di raccogliere informazioni. In quest’ottica emerge l’importanza delle attività di OSINT (Open Source Intelligence) e di SOCMINT (Social Media Intelligence).
L’OSINT mira alla raccolta di informazioni dalle c.d. fonti aperte, tra le quali Internet ha oramai assunto il ruolo predominante, in quanto l’individuo è diventato una fonte inesauribile di produzione di dati i quali, una volta rilasciati in rete, rimarranno a disposizione di chiunque voglia usufruirne. Compito della cyber intelligence è quello di individuare i dati significativi circa le potenziali minacce per la sicurezza nazionale ed assemblarli al fine di produrre dei report attraverso i quali verranno prese le decisioni finali.
Particolare rilevanza hanno assunto i Social network (da cui la definizione di SOCMINT), ove l’individuo medio ha di fatto trasferito la propria esistenza e ove condivide moltissime informazioni di valore sul proprio conto che ben possono essere esaminate dall’analista di intelligence per scopi prefissati. Lo studio dei profili social permette infatti di comprendere i desideri e le necessità delle masse, di dedurre lo stato mentale dei singoli e gli orientamenti socio politici. Si pensi all’importanza che tale attività può rivestire in chiave anti terrorismo, in particolare nell’individuare i numerosi canali di radicalizzazione presenti nel web e nel comprendere gli obiettivi perseguiti dai potenziali gruppi terroristici.
Tuttavia va considerato che nonostante l’incessabile progresso tecnologico, le tecniche sopracitate rimangono strettamente dipendenti dal fattore umano, rappresentato dall’analista che scrupolosamente raccoglie, analizza ed elabora i dati, e dall’agente operativo che svolge la c.d. attività di HUMINT[10]. Senza il lavoro svolto da tali figure le pur incredibili potenzialità tecnologiche raggiunte nel campo diverrebbero del tutto inutili in quanto anche la più avanzata intelligenza artificiale non sarebbe in grado di pareggiare la capacità decisionale umana, operare congetture, confutare le ipotesi o cambiare la propria opinione di fronte agli infiniti cambiamenti cui la realtà pone di fronte l’operatore umano.
Del resto, l’odierna mole di dati presenti in rete non costituisce un valore in sé, ma lo acquista grazie alla capacità degli esperti di ricavare informazioni utili alla tutela della comunità.
Protezione delle infrastrutture critiche
Una delle minacce più serie alla sicurezza nazionale giunge dall’eventualità che uno o più attacchi cyber possano mettere a repentaglio l’operatività di quelle infrastrutture che erogano servizi essenziali per i cittadini. Esse rappresentano le funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione il cui danneggiamento o distruzione avrebbe un impatto significativo (settore dell’energia, trasporti, sanità, banche, telecomunicazioni ecc.).
Uno dei problemi nella gestione di tali attacchi sta nel carattere asimmetrico della minaccia informatica. L’aggressore infatti può colpire in ogni momento e da qualunque parte del globo, può sfruttare vulnerabilità rimaste sconosciute fino a quel momento[11]e allo stesso tempo approfittare dell’elevato grado di anonimato che la rete garantisce, contribuendo al c.d. “problema dell’attribution”: non è possibile dire con certezza chi sia stato l’autore di un attacco cyber. Si potrebbe risalire al computer da cui è stato condotto, ma rimane il problema di individuare la persona fisica imputabile. Ciò costituisce un serio problema soprattutto per quanto concerne gli attacchi condotti tramite Botnet[12] poiché è difficile risalire all’autore del reato, anche in previsione dell’impiego sempre più frequente di intelligenze artificiali in tali operazioni[13].
In tale contesto, uno dei principi adottati consiste nel concentrare le risorse nello sviluppo della resilienza dell’infrastruttura, ovvero la capacità della stessa di continuare ad essere operativa e di garantire i servizi anche in caso di attacco, in modo tale che il subire un intrusione informatica non assuma i connotati di un evento catastrofico, bensì venga affrontata come un problema da gestire e risolvere[14].
Si badi che gli effetti di un attacco cyber non si limitano al danneggiamento dei sistemi informatici. Il danno può ben riguardare anche gli elementi fisici/cinetici delle infrastrutture. Un lampante esempio lo ritroviamo nel noto attacco “StuxNet” del 2009: in estrema sintesi, l’obiettivo del malware StuxNet era di ostacolare lo sviluppo del programma nucleare iraniano intervenendo sulle centrifughe della raffineria nucleare iraniana della città di Natanz. Il malware, sfruttando la vulnerabilità di alcuni database dei sistemi informatici, ebbe l’effetto diaccelerare la velocità delle turbine dell’impianto e di portarle al collasso.
[1]Un attacco di “Distributed Denial of Service” punta a rendere irraggiungibile il dispositivo informatico target saturandone la banda di comunicazione.
[2]Nel 2016, nel corso del Summit di Varsavia, i membri della NATO hanno riconosciuto nel cyberspazio un nuovo dominio operativo da difendere alla stregua di terra, mare, aria e spazio extra-atmosferico.
[3]M. CALIGIURI, Cyber intelligence, la sfida dei data scientist, p.3, in www.sicurezzanazionale.gov.it
[4]M. CALIGIURI, in Prefazione in A. TETI, Cyber Espionage e Cyber Counterintelligenc, Rubbettino, 2018.
[5]E’ l’insieme delle attività e delle operazioni militari pianificate e condotte.
[6]Sul processo di radicalizzazione vedi V. MORISCO, Network jihadisti tra virtuale e reale, https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2015/05/Network-jihadisti-tra-reale-e-virtuale-Morisco.pdf
[7]Direttiva UE n. 2016/1148, recepita in Italia con il D.lgs n. 65/2018.
[8]Per approfondimenti vedi A. TETI, Cyber Espionage e Cyber Counterintelligence, Rubbettino, 2018, pp. 161 ss.
[9] Espresso in J.OLSON, The Ten Commandments of Counterintelligence, 2001, https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csi-studies/studies/fall_winter_2001/article08.html
[10]Acronimo per Human Intelligence, che raggruppa le attività informativa svolta dall’agente operativo.
[11]Definite anche come “Zero day”.
[12]Una Botnet è una rete di computer infettati da un malware e controllata da un botmaster che sfrutterà i sistemi a sua disposizione per condurre attacchi.
[13]Pensiero parafrasato da quello dell’attuale Comandante del Comando Interforze per le Operazioni Cibernetiche (CIOC) Gen. Francesco Vestito, vedi intervista: https://www.analisidifesa.it/2018/06/difesa-cyber-nazionale-parla-il-generale-vestito/.
[14]Per un completo approfondimento sul tema della protezione delle infrastrutture critiche vedi R. SETOLA, V. ROSATO, E. KYRIAKIDES, E. ROME, Managing the Complexity of Critical Infrastructures, Springer, 2016.
